Linux防火墙:SNAT和DNAT地址转换操作

已于 2024-03-14 15:53:36 修改
阅读量1.3k 收藏 26
点赞数 25
文章标签: linux 服务器 运维
于 2024-02-19 14:43:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71815887/article/details/136160099
版权

目录

一、NAT

1、NAT概念

2、NAT分类

二、SNAT

1、SNAT概念 

2、SNAT源地址转换过程

3、已知外网地址的SNAT操作

3.1 配置网关服务器

3.1.1 添加网卡

3.1.2 配置ens33网卡

3.1.3 配置ens36网卡

3.1.4 重启网卡并查看网卡是否生效

3.1.5 开启路由转发功能

3.1.6 配置防火墙策略

3.2 配置内网客户端

3.3 配置外网服务器

3.4 测试

 4、未知或外网地址不固定时的SNAT操作

4.1 重新配置网关服务器的iptables规则

4.2 测试

三、DNAT

1、DNAT概念 

2、DNAT源地址转换过程

3、DNAT的相关操作

3.1 重新配置网关服务器的iptables规则

3.2 测试

一、NAT

1、NAT概念

在Linux 的 iptables 中,NAT(Network Address Translation)用于修改数据包的源或目标 IP 地址,以实现网络地址转换。它允许将私有网络内部的 IP 地址映射到公共网络中使用的 IP 地址,从而使得内部网络可以与外部网络进行通信

支持PREROUTING、INPUT、OUTPUT、POSTROUTING四个链

2、NAT分类

  • SNAT(Source NAT):也称为源地址转换,它用于修改数据包的源 IP 地址。当数据包离开本地网络时,它会被替换成路由器的外部接口 IP 地址,从而隐藏了内部网络的真实 IP 地址
  • DNAT(Destination NAT):也称为目标地址转换,它用于修改数据包的目标 IP 地址。当数据包进入本地网络时,它会被重写为指向内部主机的 IP 地址,这样可以将外部请求导向内部服务器
  • MASQUERADE:这是一种特殊形式的 SNAT,它用于动态地将内部私有 IP 地址映射到外部公共 IP 地址。MASQUERADE 适用于连接到 Internet 的场景,其中内部主机的 IP 地址通常是动态分配的
  • REDIRECT:这种类型的 NAT 用于将数据包重定向到同一台机器上的不同端口。这在端口转发和代理服务器设置中非常有用

二、SNAT

1、SNAT概念 

SNAT(Source NAT),也称为源地址转换,源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络

支持POSTROUTING、INPUT链

SNAT策略的原理:

  • 源地址转换
  • 修改数据包的源地址

2、SNAT源地址转换过程

  • 数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP
  • 当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP
  • 当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分

3、已知外网地址的SNAT操作

运用SNAT策略将局域网中的客户端IP封装为网关服务器的外网IP,访问外网web服务器的http服务 

3.1 配置网关服务器

前提:关闭所有机器的firewalld防火墙和核心防护,开启iptables防火墙

[root@localhost ~]#systemctl stop firewalld
[root@localhost ~]#setenforce 0
[root@localhost ~]#systemctl start iptables.service
#所有机器下载httpd服务并开启
[root@localhost ~]#yum install -y httpd
[root@localhost ~]#systemctl start httpd
3.1.1 添加网卡

3.1.2 配置ens33网卡
[root@localhost ~]#cd /etc/sysconfig/network-scripts
[root@localhost network-scripts]#vim ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=172.16.12.10
NETMASK=255.255.255.0
GATEWAY=172.16.12.2
3.1.3 配置ens36网卡
[root@localhost ~]#cd /etc/sysconfig/network-scripts
[root@localhost network-scripts]#cp ifcfg-ens33 ifcfg-ens36
[root@localhost network-scripts]#vim ifcfg-ens36
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
NAME=ens36
DEVICE=ens36
ONBOOT=yes
IPADDR=11.0.0.10
NETMASK=255.255.255.0
GATEWAY=11.0.0.10
3.1.4 重启网卡并查看网卡是否生效
[root@localhost ~]#systemctl restart network
[root@localhost ~]#ifconfig

3.1.5 开启路由转发功能
[root@localhost ~]#sysctl -a|grep ip_forward
[root@localhost ~]#echo "net.ipv4.ip_forward = 1">>/etc/sysctl.conf
[root@localhost ~]#sysctl -p

3.1.6 配置防火墙策略
#将内网地址通过ens36网口,都转为11.0.0.10的外网地址
[root@localhost ~]#iptables -t nat -A POSTROUTING -s 172.16.12.0/24 -o ens36 -j SNAT --to 11.0.0.10
#在出口的地方加指定POSTROUTING,指定源网段 172.16.12.0/24,指定出口网卡ens36
[root@localhost ~]#iptables -t nat -vnL

3.2 配置内网客户端

[root@localhost ~]#vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=172.16.12.12 
NETMASK=255.255.255.0
GATEWAY=172.16.12.10
[root@localhost ~]#systemctl restart network
#将想要的内容写入外网服务器的网站文件中
[root@localhost ~]#echo "欢迎使用内网服务端" > /var/www/html/index.html

3.3 配置外网服务器

[root@localhost ~]#vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=11.0.0.11 
NETMASK=255.255.255.0
GATEWAY=11.0.0.10
[root@localhost ~]#systemctl restart network

当修改完ens33网卡后,外网服务器的xshell会因为无网络而断联,这时候需要使用其他能联网的机器远程登录到外网服务器进行后续操作

#将想要的内容写入外网服务器的网站文件中
[root@localhost ~]#echo "欢迎使用外网服务器" > /var/www/html/index.html

3.4 测试

#内网客户端使用curl命令访问外网服务器的网站
[root@localhost ~]#curl 11.0.0.11

#查看源内网IP地址172.16.12.12是否转换为外网IP地址:11.0.0.10
[root@localhost ~]#tailf /var/log/httpd/access_log

4、未知或外网地址不固定时的SNAT操作

4.1 重新配置网关服务器的iptables规则

首先,其他配置与已知外网地址的SNAT操作一样,只需要改变网关服务器的防火墙测略即可

#先清空之前配置的防火墙策略
[root@localhost ~]#iptables -t nat -F
#如果外网地址未知或不固定的时候可以设置伪装
[root@localhost network-scripts]#iptables -t nat -A POSTROUTING -s 172.16.12.0/24 -o ens36 -j MASQUERADE

 4.2 测试

#内网客户端使用curl命令访问外网服务器的网站
[root@localhost ~]#curl 11.0.0.11

#查看源内网IP地址172.16.12.12是否转换为外网IP地址:11.0.0.10
[root@localhost ~]#tailf /var/log/httpd/access_log

三、DNAT

1、DNAT概念 

DNAT(Destination NAT):也称为目标地址转换,它用于修改数据包的目标 IP 地址。当数据包进入本地网络时,它会被重写为指向内部主机的 IP 地址,这样可以将外部请求导向内部服务器

支持PREROUTING 、OUTPUT链

DNAT策略的原理:

  • 目标地址转换
  • 修改数据包的目标地址

2、DNAT源地址转换过程

  • 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP
  • 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP

3、DNAT的相关操作

3.1 重新配置网关服务器的iptables规则

通过DNAT使外网客户端能够访问公司内网的web服务器

先,其他配置与之前的操作一样,只需要改变网关服务器的防火墙测略即可 

#把从ens36进来的要访问web服务的数据包目的地址转换为172.16.12.12
#指定目的地址为网关服务器的ens36外网网卡的IP地址,将内网服务器的地址映射到网关服务器的内网IP
#指定目的端口为html:80  这里可以修改映射为其它端口,加强安全性
[root@localhost ~]#iptables -t nat -A PREROUTING -i ens36 -d 11.0.0.10 -p tcp --dport 80  -j DNAT --to 172.16.12.12

3.2 测试

#查看外网客户端能否使用curl命令访问内网服务器的网站
[root@localhost ~]#curl 11.0.0.10

#查看内网客户端的日志
[root@localhost ~]#tailf /var/log/httpd/access_log

十七拾
关注
  • 25
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙实现SNAT与DNAT
悦分享
07-21 783
vi /etc/sysctl.conf 将 net.ipv4.ip_forward=0 修改成 net.ipv4.ip_forward=1。编辑后使用命令让配置马上生效 sysctl -p。开启目标服务器/中转服务器端口**(本例仅限于http服务) python -m SimpleHTTPServer 1024。查询端口**状态 netstat -tupln。
LINUX - SNAT
double_Energy的博客
10-17 323
打开三台虚拟机,分别设置网关、内网、外网IP 1、 vim /etc/sysconfig/network-scripts/ifcfg-eth0 vim /etc/sysconfig/network-scripts/ifcfg-eth1 分别和内网外网链接网关IP 保存退出后重启 service network restart 2、 vim /etc/sysconfig/network-scri...
Linux防火墙之--SNAT和DNAT
qq_51506982的博客
10-07 2350
当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。数据包从内网发送到公网时,SNAT会把数据包的地址由私网IP转换成公网IP。firewall-cmd --list-all 查看。firewall-cmd --zone=指定区域。添加,浏览器20.0.0.10即可看到是否成功。2.给网关服务器添加一张虚拟网卡。查看区域内允许通过的服务。web端连接客户端测试。做SNAT地址转换
SNAT(地址转换)、DNAT(目的地址转换
sunrj_niu的博客
03-26 1623
SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的地址。无论使用哪种类型的地址转换防火墙主机一定要开启IP转换的功能。 2.地址转换:通过SNAT地址转换实现共享上网 如上图所示,公司网段192.168.10.0想要通过防火墙公网地址上网,当数据包进入防火墙时修改地址信息,公司电脑通过防火墙去上网,会经过的链路有PREROUTING、FORWARD、POSTROUTING,通过防火墙出去修改地址,很
防火墙技术基础篇:网络地址转换NAT):防火墙技术的核心机制
最新发布
qq_39241682的博客
05-13 1709
NAT于为了解决IPv4地址耗尽的问题,它允许多个设备通过单一的公有IP地址接入互联网,这些设备各自拥有独立的私有IP地址。简而言之,NAT的核心功能是在数据包传输过程中将或目的IP地址从私有地址转换为公有地址,或者反之。
SNAT与DNAT
csdn_T996的博客
05-18 279
引言 SNAT与DNAT实验具体流程 1、SNAT原理及应用 1.1、SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)。 1.2、SNAT原理 地址转换,根据指定条件修改数据包的IP地址,通常被叫做映射。 1.3、SNAT转换前提条件 1、局域网各个主机已正确设置IP地址、子网掩码、默认网关地址 2、Linux网关开启IP路由转发 2.4、SNAT实验步骤 pc机:vmnet1仅主机模式更改网络适配器
奇葩网络之-配置NAT 双转换(DNAT+SNAT)
_Dong的博客
03-08 1152
问题 :由于AR3设备无法配置网关导致单纯的DNAT 无法实现外部设配和AR3 通讯.因此提出解决方案 DNAT+SNAT. 目的: AR2 通过虚拟地址10.16.32.1 ,访问AR3. 数据流量方向 :入向DNAT+SNAT,类似使用AR1 代理请求AR3 配置AR3 interface GigabitEthernet0/0/1 ip address 192.168.0.2 255.255.255.0 开启telnet user-interface vty 0 4 authentication-m
linux 实现SNAT技术
blh2393430755的博客
03-17 1153
一、实验环境 1.说明:SNAT是针对ip地址做的地址转换 2.软件:VMware 15 ,slave1与slave2系统都为centos 7 3.网络:Vmnet8 为nat类型网络 可想象为现实中的公网地址 可正常访问外网 VMnet1 与 vmnet7 都为仅主机类型的主机 ,可想象为现实中的内网地址,无法访问外网 4.拓扑图如下(sw为交换机) 二、前提配置 1. centos 克隆的配置 nmcli con add con-name ens33-static..
LINUX下的网络地址变换(NAT).pdf
09-06
Linux操作系统中,NAT功能主要通过iptables这一强大的防火墙和包过滤工具实现。 1. **iptables的安装** 在Linux环境中,iptables通常是作为内核模块集成的,但在某些情况下可能需要手动安装。如描述中提到的,...
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
nat 表典型应用包括 SNAT网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 表典型应用可以实现对网络流量的控制和转换。 五、总结和答疑 通过本节课程的学习,学生将掌握 iptables ...
用Red Hat Linux9.0实现双出口路由.pdf
09-07
在Red Hat Linux 9.0操作系统中实现双出口路由是一项重要的网络配置任务,它涉及到网络地址转换NAT)和多路径路由选择。这个过程对于那些需要连接到多个网络环境,如教育网(CERNET)和公网(Internet)的企业或...
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables和内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
构筑Linux防火墙之IPtables的概念与用法
05-14
实际的操作分为以下几类: <br>◆ DNAT <br>◆ SNAT <br>◆ MASQUERADE <br>DNAT操作主要用在这样一种情况,你有一个合法的IP地址,要把对防火墙的访问 重定向到其他的机子上(比如DMZ)。也就是说,...
Linux 防火墙 SNAT DNAT
低温热源的博客
05-21 706
局域网主机共享单个公网IP地址接入Internet(私有IP地址不能在Internet中正常路由)修改数据包的地址SNAT可以认为是路由器NAT中的easy ipDNAT可以认为是路由器NAT中的 nat serverSNAT将 内网地址 转化为网关的公网地址,以避免内网地址无法在公网中传输的情况临时打开IP路由转发永久打开IP路由转发。
Linux SNAT/DNAT简单理解与案例分析。
weixin_30410119的博客
07-25 376
在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范,路由器是不能这样工作的,但它的确是一个方便且得到了广泛应用...
LINUX_SNAT概述_实验配置
weixin_44393420的博客
10-20 813
一.SNAT概述 1.地址转换,Source Network Address Translation 地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。 简单来说直接的作用就是修改IP地址说 2.SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet 3.图解 二.SNAT实验测试 ①实验环境 两台C
linux内核snat分析,(十)洞悉linux下的Netfilter&iptables:网络地址转换原理之SNAT
weixin_35719236的博客
04-29 115
gaopeiliang:怎么搞的,关键的数据怎么丢了那,,出现的问题是从ppp0上走出的数据,正确的SNAT出去了,同时也得到了响应,但是数据却没有转发到eth1上,看来看去好像是回来的数据包没有被自动的NAT回来,导致没有转发到eth1上。这个没有什么道理啊,,希望博主帮忙分析一下,是哪个环节可能有问题,还是这种用法就有问题???做完策略路由之后,再配置两组规则看看?可以用地址伪装来实现,比如...
Linux防火墙——SNAT、DNAT
m_j_y0_0的博客
03-22 1531
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
LinuxShell】linux防火墙之SNAT策略和DNAT策略
一个萌新的博客
05-22 1147
本文主要介绍了linux防火墙中的两个策略(SNAT、DNAT
ensp防火墙snat和dnat配置
05-20
SNAT地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168.1.100转换为外部IP地址202.101.1.100: ``` iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to-source 202.101.1.100 ``` 2. 将所有内部IP地址转换为外部IP地址: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 202.101.1.100 ``` DNAT配置: 1. 将外部IP地址202.101.1.100的流量转发到内部IP地址192.168.1.100: ``` iptables -t nat -A PREROUTING -d 202.101.1.100 -j DNAT --to-destination 192.168.1.100 ``` 2. 将外部IP地址202.101.1.100的80端口流量转发到内部IP地址192.168.1.100的8080端口: ``` iptables -t nat -A PREROUTING -p tcp -d 202.101.1.100 --dport 80 -j DNAT --to-destination 192.168.1.100:8080 ``` 这些是基本的SNAT和DNAT配置示例,具体配置取决于你的网络需求和防火墙规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值